2009年12月21日 星期一

賽門鐵克企業版SEP 11.0之使用心得

Symantec」這個名字對於一般使用者來說,可能比較沒有印象,如果是改成「Norton」的話,或許很多消費者就能夠馬上反應過來是防毒軟體廠商,其實Norton只是Symantec公司中的一部分,但是換個角度切入的話,如果是企業端的用戶,或許對於Symantec的識別度也就高出許多,因為它們在企業端主推的系統防護軟體,是較為全面性的「端點防護(Symantec Endpoint Protection)」,簡稱為:「SEP」,從SEP 11.0(目前最新的版本序號為11.0.5002.333)推出到今年,已經歷經多次改版,比起以往的Symantec AntiVirus 10版,這次還加入了「主動式威脅」與「網路威脅」的防護功能。

其實對於SEP 11.0這套軟體的測試,比較不能夠以防毒軟體的角度來看待,因為它整合了許多周邊的管理功能,或許可以將它視為一種企業內的解決方案會比較恰當,至於是否適用於每個企業內部,就得視公司對於這部分的重視程度,以及想要管控的範圍到什麼程度而定,其它的就是如果調教這樣子的系統,融入企業內部,並且發揮它最大的效益,我想,這才是資訊(管理)人員所最在意的課題,畢竟這一類的套裝軟體功能頗多,在此我會針對較具特色的相關要點來介紹,如果有興趣的資訊(管理)人員,可以在它們的中文官網上找到相關的說明才是。



軟體名稱:Symantec Endpoint Protection(賽門鐵克端點防護)
軟體版本:11.0.5002.333(2009年9月21日)
適用平台:Microsoft Windows、Linux
軟體類型:商用軟體
官方網站:http://www.symantec.com/zh/tw/business/endpoint-protection
試用下載:http://www.symantec.com/offer?a_id=24829


特點介紹:

其實對於企業端的產品而言,絕大多數都會將管理機制設計在軟體之中,所以對於集中控管的功能來說,應該是這類軟體必備的功能之一,其實以SEP 11.0來說,這部分整合算相當不錯,幾乎所有使用端的設定都能夠在管理介面(主控台)中,透過網路來進行相關的設定與控制,只要再最初派送安裝前,做好相關功能的設定即可。


雖然這些功能或許在具備Windows AD的架構之下,也有相似的解決方案,但是軟體若本身就具備這樣子的功能,或許在企業內應用時,它能夠調整的彈性也比較大,這也是一般消費性產品所無法相提並論的部分。

除了這個中央控管的功能之外,它也利用了這個管理介面的支援性,提供了下面幾種由管理者介面,可以直接控管使用者電腦(被控端)中SEP 11.0的相關功能與設定,其中較具特色的功能如下:

1. 個人防火牆:

在打開主控台的操作介面之後,可以依「政策」、「防火牆」的路徑下,在右方的「防火牆政策」上,按右鍵點選「編輯」之後,就可以在「規則」選單中,看見它相當嚴密的防火牆設定,它能夠依管理者的需求來進行相關的細部設定,雖然剛看見這麼多設定時,會有點不知道該從那邊下手,不過,站在企業內資訊安全角度來看,寧願軟體本身有提供那些功能,也總比需要時卻無法支援來得好。


畢竟公司要選用一套資訊防護的軟體時,就是希望能夠貼近公司擬定的資訊政策,同時藉由這個防火牆的設置,避免使用者的個人習慣,造成公司平白無故的損失,所以這樣子的防火牆設定,的確有其必要之處。

除此之外,它在「流量與隱藏設定」中還提供了一些進階的功能,可以避免使用者受到流竄於區網之中,較難被查覺到的惡意攻擊,例如:MAC的欺騙。


2. 雙層IPS:

除了防火牆之外,SEP 11.0還提供了兩種形態的IPS(Intrusion Prevention System:入侵預防系統),簡單地說就是提供了「主機端」(主動)和「網路端」(被動)的入侵防禦,因為主機可能受到的入侵管道,除了來自網路上的惡意來源之外,就是存在於電腦主機中的惡意程式,我想這種雙層IPS的設計,主要是讓系統具備較為完整的防禦功能,避免過分關注來自外界的危險,進而輕忽了透過別的管道進入內部的惡意程式,甚至它能夠從內部竊取資料,再透過其它管道對外進行傳送(這也是防火牆最常忽略的部分)。

在主機端的IPS中,SEP 11.0採用了「TruScan」的技術(是一種行為分析的技術,據官方資料指出,誤報率僅為0.004 %),管理者只需要從主控台的「防毒與防間諜軟體政策」中,就可以針對「TruScan主動掃描威脅」這部分進行相關設定,設定完成之後,就能夠直接套用在使用者的SEP 11.0之中,不再需要管理者出馬,到每個使用者面前來幫他們進行這部分的設定。


至於網路端的入侵防禦,在SEP 11.0的主控台中,就是直接獨立於「入侵預防政策」的設定當中,預設的狀況下,所有在它管轄的主機,都會透用這裡的設定值,如果你想要排除特定主機在這部分的防禦時,就可以勾選「啟用排除的主機」,並在內部設定中寫入相關的主機資訊即可,當然也可以在主機的群組中先將有這類需求的主機,分類在不同的群組當中,在指派相關設定檔時,直接略過該群組也一樣可行。


3. 應用程式控制與裝置控管:

除了針對主機整體的安全性防護之外,其實SEP 11.0之中也具備應用程式控制的防護功能,讓管理者能夠設定應用程式對於系統資源存取的權限,以免應用程式被惡意程序劫持,進一步對系統造成傷害,舉例來說,先前造成大規模感染的隨身碟病毒來說,如果在應用程式控制的控管之下,我們就可以在這邊將應用程式對於USB設備連線磁碟機的寫入權限給關閉,它就無法進行感染的動作,接著再透過詳細的掃描與檢查,查殺位於系統或是隨身碟中的惡意程式。


甚至,可以採用更為極端的方式,直接從中控台裡進行輸入(出)裝置的控管,降低由實體裝置導至主機受到惡意程式侵襲的可能性,同時能避免內部的重要資料被使用者複製出公司,雖然這部分的裝置管制,可以透過主機的BIOS或是某些資產管理軟體(價格頗)的協助來達成,但是在SEP 11.0中,它也直接將這部分的功能放進了這個套裝軟體中,讓管理者不需耗時去處理這部分的危機發生,甚至有些管理者還會直接用熱融膠或是矽膠(Silicone)來把周邊設備封死或拆除,光是用想的就覺得累,現在只需透過SEP 11.0提供的裝置控管,就可以達到一定的成效。


為什麼我沒有特別題到主控台政策設定裡的其它功能,例:LiveUpdate集中式例外...等,並非是它們的功能不好,而是在實際操作上,這部分比較偏向防毒軟體的運作模式,再加入了中央控管的功能,因此,我在這部分就沒有多加著墨,一般的管理者通常看到這樣子的設定介面,應該也能夠立即上手,不需花費太多的時間來熟悉,我想這也是軟體操作上的一項重要指標。

更何況,在本文一開始我就提過這套軟體不應該用單純防毒軟體的角度來看待,所以,在介紹SEP 11.0的特點時,我比較著重在它周邊能夠提供的解決方案,如果需要瞭解SEP 11.0所使用的防毒或防間諜軟體的技術,應該可以在官網上找到不少資料才是。

總結:

在測試SEP 11.0的過程當中,安裝部分沒有遇到什麼問題,只要事先依照它提出的系統需求,準備好這樣子的安裝環境即可,以我的角度看來,最大的差異就是使用者的電腦是否要受中央伺服器(主控台)控管這一點,除此之外,它提供的端點防護功能,算是一套蠻完整的資訊安全的解決方案,畢竟它的確能夠為管理者帶來更多的附加效益(例:應用程式控制與裝置控管)。

其實以防毒軟體來說,最多人在討論的除了它的功能之外,就是它所佔用的資源多寡(記憶體使用量),以「SEP 11.0」來說,管理主控台(Smcsvc.exe)的部分,視實際的使用狀況,大約會佔去80至100 MB的記憶體,至於使用者所安裝的SEP 11.0套件,包含了五個程序(ccAPP.exe、ccSvcHst.exe、Smc.exe、SmcGui.exe和RtvScan.exe),這些程序在靜置時,佔用的記憶體總量約為 25 至 30 MB左右。


若是直接由使用者自行啟動「完整掃描」的時候,除了原有的「RtvScan.exe」會從 3 至 5 MB,增加到 40 MB之外,還會另外增加一個約8 MB的「SavUI.exe」(掃描介面),若是由管理主控端來指派使用者進行全系統掃描時,就不會多佔用這8 MB的記憶體,由此也能夠看出由中央控管的好處,不僅對於管理者有好處,甚至也能夠幫助使用者節省記憶體的資源。


以企業內部使用的角度來看SEP 11.0,它的確是一個十分具備優勢的資訊安全軟體,只是對於規模較小的公司或中、小企業,或許還是會採用消費端的安全防護軟體(例:Norton Internet Security),畢竟預算的成本對於公司來說可能仍是最大誘因。

不過,當公司內有考慮要導入類似資產管理的軟體時,就可以考慮看看是否能藉由SEP 11.0來替代,這麼做說不定能夠為公司省下一筆相當可觀的軟體授權費用,只是要先評估公司想要管制到什麼程度,如果SEP 11.0能夠符合需求的話,就算它的導入成本較一般消費端的產品高,仍然可以算是一套C/P值頗高的安全套裝軟體,如果有興趣的話,您不妨也可以下載試用版來進行測試,說不定你會發現到更多你所需要的功能,到時候再來進行導入的評估也還不算遲。